病毒名称
Worm.Win32.Delf.atw
捕获时间
2007-12-8
病毒症状
该病毒使用Delphi编写的蠕虫程序,采用NSPack加壳方式试图躲避特征码扫描,加壳后长度为22,442字节,图标为扑克牌方块Q的图标,病毒扩展名为exe,主要传播途径局域网传播,移动存储介质传播。
病毒分析
该程序被激活后,拷贝自身到%systemroot%\system32目录下,重命名为servet.exe,修改文件属性为隐藏和系统;通过修改以下注册表项(详见技术细节)达到开启Windows自动播放功能的目的;调用SCM写注册表项将servet.exe注册成名为WindowsDown的本地服务,通过使用相关函数启动被注册的服务;开启一个IEXPLORE.EXE进程,申请内存空间将病毒一部分代码写入,并通过相关函数激活病毒代码进行代码注入逃避杀毒软件的查杀,访问恶意网站http://***.8e168.com/下载其它病毒程序并运行;遍历盘符在移动存储介质中释放隐藏病毒文件servet.exe和autorun.inf,使用Windows自动播放功能来运行并传播病毒;枚举局域网可用共享,以达到在局域网传播的目的;调用批处理将病毒原文件删除。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
局域网传播,移动存储介质传播
技术细节
病毒修改的注册表项:
项:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
键值:NoDriveTypeAutoRun
指向变量:95
项:HKLM\SYSTEM\CurrentControlSet\Services\WindowsDown\
键值:ImagePath
指向文件:%systemroot%\system32\servet.exe |
发表于 2007-12-10 09:43
|